Schritt-für-Schritt-Anleitung zum Einrichten und Konfigurieren von OpenVPN unter Ubuntu 22.04
Eine vollständige Anleitung zur Einrichtung und Konfiguration eines OpenVPN-Servers unter Ubuntu 22.04 mit den entsprechenden Sicherheits- und Optimierungspraktiken.

Schritt-für-Schritt-Anleitung zum Einrichten und Konfigurieren von OpenVPN unter Ubuntu 22.04

  • 12-Ansichten
  • 5-Minutenlesung
Dieser Artikel erklärt Ihnen, wie Sie einen OpenVPN-Server unter Ubuntu 22.04 installieren und konfigurieren. Die Anleitung umfasst verschiedene Schritte, darunter die Installation von Paketen, die Konfiguration einer Firewall und Sicherheitstipps.
Elahe
  • 16. Dezember 2025
0 Aktien
0
0
0
0
0
Aktien
0
0
0
0
  1. Warum sollten wir OpenVPN auf Ubuntu 22.04 einrichten?
  2. Voraussetzungen
  3. Teil Eins – Installation von OpenVPN und EasyRSA
  4. Teil 2 – Erstellung von Zertifizierungsstellen, Schlüsseln und Zertifikaten
  5. Teil 3 – Konfiguration des OpenVPN-Servers
  6. Teil 4 – Routing und NAT aktivieren
  7. UFW-Konfiguration (falls aktiviert)
  8. Teil 5 – Einrichten des OpenVPN-Dienstes
  9. Teil 6 – Erstellen einer Clientdatei (.ovpn) mit einem Inline-Zertifikat
  10. Abschnitt 7 – Benutzerverwaltung, Zertifikatswiderruf und Sicherheit
  11. Abschnitt 8 – Technische Tipps und Optimierung für Anwendungen
    1. Für Trading/Forex und Kryptowährungen
    2. Für Spiele
    3. Für künstliche Intelligenz und Rendering
  12. Abschnitt 9 – Vergleich von Standorten und Infrastruktur
  13. Abschnitt 10 – Überwachung und Instandhaltung
  14. Schnelle Fehlerbehebung
  15. Zusammenfassung und Sicherheitsempfehlungen
  16. Vorteile der bereitgestellten Infrastruktur und Standorte
  17. Häufig gestellte Fragen

Warum sollten wir OpenVPN auf Ubuntu 22.04 einrichten?

Dieser Leitfaden bietet eine praktische und umfassende Anleitung für Einrichtung und Konfiguration. OpenVPN An Ubuntu 22.04 Es richtet sich an Systemadministratoren, DevOps-Experten, Händler und Gamer. Die Schritte umfassen die Installation von Paketen, die Erstellung einer PKI mit EasyRSA, die Konfiguration von Server und Client, die Einrichtung einer Firewall (ufw/iptables), die Aktivierung des Routings und von Sicherheitslösungen wie … tls-cryptVerwaltung und Nutzung von Zertifikatssperrlisten (CRL) fail2ban Es wird sein.

Voraussetzungen

Um dieser Anleitung zu folgen, benötigen Sie Folgendes:

  • Ein Server Ubuntu 22.04 Mit einem Benutzer mit Zugriff sudo
  • Eine öffentliche IP-Adresse oder ein dedizierter IP-Adressbereich (IPv4/IPv6, falls erforderlich)
  • Freier Port (empfohlen: UDP 1194 oder einen benutzerdefinierten Port, um die Möglichkeit des Scannens zu verringern)
  • Mindestens 1 GB RAM für die Grundlast; für den Einsatz in Unternehmen oder bei Hunderten von Verbindungen sollten die Ressourcen erhöht werden.

Teil Eins – Installation von OpenVPN und EasyRSA

Aktualisieren Sie zuerst die Pakete und installieren Sie dann OpenVPN und EasyRSA.

sudo apt update && sudo apt upgrade -y
sudo apt install -y openvpn easy-rsa

EasyRSA-Vorlage kopieren und PKI vorbereiten:

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki

Teil 2 – Erstellung von Zertifizierungsstellen, Schlüsseln und Zertifikaten

Schritte zum Erstellen von Zertifizierungsstellen, Schlüsseln und Zertifikaten mit EasyRSA:

./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1
./easyrsa gen-dh
openvpn --genkey --secret /etc/openvpn/ta.key
./easyrsa gen-crl
cp pki/crl.pem /etc/openvpn/crl.pem
chmod 644 /etc/openvpn/crl.pem

Für den Server benötigte Dateien:

  • /etc/openvpn/server.crt
  • /etc/openvpn/server.key
  • /etc/openvpn/ca.crt
  • /etc/openvpn/dh.pem
  • /etc/openvpn/ta.key
  • /etc/openvpn/crl.pem

Teil 3 – Konfiguration des OpenVPN-Servers

Eine Beispielkonfigurationsdatei in /etc/openvpn/server/server.conf Erstellen. Das folgende Beispiel ist eine einfache und sichere Konfiguration mit AES-256-GCM und tls-crypt.

port 1194
proto udp
dev tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
tls-crypt /etc/openvpn/ta.key

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"

keepalive 10 120
cipher AES-256-GCM
auth SHA256
ncp-ciphers AES-256-GCM
persist-key
persist-tun

user nobody
group nogroup

status /var/log/openvpn/status.log
log /var/log/openvpn/openvpn.log
verb 3

crl-verify /etc/openvpn/crl.pem

Tipps:

  • Verwendung von AES-256-GCM Und SHA256-Authentifizierung Empfohlen.
  • Für minimale Latenz in sensiblen Netzwerken wie Handels- oder Gaming-Netzwerken UDP Es ist besser geeignet; es ist in begrenzten Netzwerken möglich. TCP Es könnte notwendig sein.
  • Du kannst tls-version-min 1.2 Oder tls-version-min 1.3 Und fügen Sie eine Liste mit strengeren Verschlüsselungsverfahren hinzu.

Teil 4 – Routing und NAT aktivieren

Die Datenweiterleitung muss aktiviert und NAT so konfiguriert sein, dass der Client-Datenverkehr an das Internet weitergeleitet wird.

IPv4-Weiterleitung vorübergehend aktivieren:

sudo sysctl -w net.ipv4.ip_forward=1

Um es dauerhaft zu machen:

echo "net.ipv4.ip_forward=1" | sudo tee /etc/sysctl.d/99-openvpn.conf
sudo sysctl --system

Hinzufügen einer NAT-Regel mit iptables (Ausgangsschnittstelle eth0 vorausgesetzt):

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Um Regeln dauerhaft zu machen, verwenden Sie iptables-persistent oder netfilter-persistent:

sudo apt install -y iptables-persistent
sudo netfilter-persistent save

Wenn von nftables Sie verwenden die Definition des Äquivalents von NAT in nft.

UFW-Konfiguration (falls aktiviert)

Wenn von ufw Bevor Sie NAT aktivieren, verwenden Sie die Datei /etc/ufw/before.rules Bearbeiten und fügen Sie den NAT-Abschnitt hinzu. Kurzes Beispiel:

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT

Dann in /etc/default/ufw Menge IPV4_WEITERLEITUNG Zu "“Ja”Oder verwenden Sie sysctl. Öffnen Sie anschließend den OpenVPN-Port und aktivieren Sie ufw.

sudo ufw allow 1194/udp
sudo ufw enable

Teil 5 – Einrichten des OpenVPN-Dienstes

Starten und aktivieren Sie den Dienst (der Dienstname kann je nach Distribution variieren):

sudo systemctl start [email protected]
sudo systemctl enable [email protected]

So überprüfen Sie Status und Protokoll:

sudo systemctl status openvpn-server@server
journalctl -u openvpn-server@server -f

Teil 6 – Erstellen einer Clientdatei (.ovpn) mit einem Inline-Zertifikat

Um die Verteilung zu vereinfachen, erstellen Sie eine .ovpn-Datei, die alle Dateien enthält. Zertifikat/Schlüssel sind darin enthalten. Ersetzen Sie das folgende Beispiel anhand der generierten Werte:

client
dev tun
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
auth SHA256
verb 3

<ca>
-----BEGIN CERTIFICATE-----
(محتوای ca.crt)
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
(محتوای client1.crt)
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
(محتوای client1.key)
-----END PRIVATE KEY-----
</key>
<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
(محتوای ta.key)
-----END OpenVPN Static key V1-----
</tls-crypt>

Übertragen Sie diese Datei auf Ihre Windows-, Mac- oder Linux-Clients. Unter Linux können Sie NetworkManager oder den Befehl verwenden. openvpn --config client.ovpn Verwenden.

Abschnitt 7 – Benutzerverwaltung, Zertifikatswiderruf und Sicherheit

Benutzerverwaltung und -sicherheit umfassen Folgendes:

  • Neuen Benutzer hinzufügen: Generieren Sie einen Schlüssel und signieren Sie wie Client1.
  • Zertifikatswiderruf (revoke): ./easyrsa revoke client1 && ./easyrsa gen-crl Anschließend kopieren Sie crl.pem nach /etc/openvpn/crl.pem und laden den Server neu.
  • Kombinierte Verwendung von zertifikatsbasierter Authentifizierung und Authentifizierung per Benutzername und Passwort: Sie können PAM oder RADIUS verwenden und OTP/2FA für mehr Sicherheit hinzufügen.
  • Fail2ban: Installation und Konfiguration zur Überwachung von Protokollen und zur Blockierung von Eindringversuchen.
  • Protokollverwaltung: Reduzieren Sie den Protokollierungsgrad in der Produktionsumgebung und verwenden Sie logrotate zur Pflege der Protokolldateien.
sudo apt install -y fail2ban
# create a custom jail for openvpn as needed

Abschnitt 8 – Technische Tipps und Optimierung für Anwendungen

Einige praktische Vorschläge für verschiedene Szenarien:

Für Trading/Forex und Kryptowährungen

  • Wählen Sie einen Standort in der Nähe von Börsen oder Handelsservern, um die Round-Trip-Time (RTT) zu reduzieren (z. B. London, Frankfurt, New York, Tokio).
  • Nutzen Sie für den Handel einen dedizierten VPS mit niedrigem Ping, dedizierten Ressourcen und einem Anti-DDoS-Server.
  • Verwenden Sie UDP und stellen Sie die entsprechende MTU ein (z. B. tun-mtu 1500 oder weniger), um eine Fragmentierung zu vermeiden.

Für Spiele

  • Wählen Sie einen Standort mit dem niedrigsten Ping und nutzen Sie VPS- oder Hochgeschwindigkeitsserver mit einem schnellen Netzwerk.
  • A/B-Tests, um zu prüfen, ob ein VPN tatsächlich das Routing verbessert und den Ping reduziert.

Für künstliche Intelligenz und Rendering

  • Für große Datenübertragungen empfiehlt sich die Verwendung von Cloud Private Networks (VPCs) oder VPNs auf Netzwerkebene mit BGP.
  • Verwenden Sie Server mit 10-Gbit/s-Netzwerk, um eine Verbindung zum GPU-Server herzustellen.

Abschnitt 9 – Vergleich von Standorten und Infrastruktur

Beispiel für Vorteile nach Region:

  • Europa (Frankfurt, London, Amsterdam): Geeignet für europäische Händler und geringe Latenzzeiten zu den Börsen.
  • Amerika (NY, NJ, Miami): Geeignet für nordamerikanische Märkte und verzögerungssensible Lasten.
  • Asien (Tokio, Singapur, Seoul): Geeignet für die Märkte im asiatisch-pazifischen Raum sowie für Gaming- und KI-Dienstleistungen in dieser Region.

Unser Unternehmen verfügt über mehr als 85 Standorte weltweitEs bietet BGP- und CDN-Netzwerkfunktionen, die effektiv zur Reduzierung der Latenz, zur Erhöhung der Stabilität und zur Verhinderung von DDoS-Angriffen eingesetzt werden können.

Abschnitt 10 – Überwachung und Instandhaltung

Tipps zu Wartung und Skalierbarkeit:

  • OpenVPN-Überwachung mit Prometheus/Grafana oder Zabbix (mittels Exportern oder Log-Analyse).
  • Regelmäßige Wartung der CRL und Überprüfung der Verbindungsprotokolle.
  • Für eine große Anzahl von Clients empfiehlt sich der Einsatz eines Load Balancers und mehrerer OpenVPN-Server mit Hochverfügbarkeit und gemeinsam genutzter Zertifizierungsstelle.

Schnelle Fehlerbehebung

  • Überprüfen Sie das Protokoll: sudo journalctl -u openvpn-server@server -e
  • Tunnelinspektion: ip a show tun0
  • Portprüfung: sudo ss -ulpn | grep 1194
  • NAT-Test: Pingen Sie von einem VPN-Client aus 8.8.8.8 und die öffentliche IP-Adresse des Servers an.

Zusammenfassung und Sicherheitsempfehlungen

Wichtigste Empfehlungen:

  • Verwenden Sie stets TLS (tls-crypt) und eine starke Zertifizierungsstelle.
  • Verwenden Sie eine starke Verschlüsselung (AES-256-GCM) und mindestens TLS 1.2.
  • Implementieren Sie ein Widerrufs- und CRL-Verfahren, um den Zugriff im Falle eines Schlüssellecks zu entfernen.
  • Verwenden Sie fail2ban und Ratenbegrenzungsregeln in Ihrer Firewall.
  • Vergessen Sie nicht, die Protokolle zu überwachen und regelmäßig zu überprüfen.

Vorteile der bereitgestellten Infrastruktur und Standorte

Die Nutzung vorgefertigter Infrastruktur mit mehreren Standorten bietet Vorteile wie reduzierten Ping, erhöhte Stabilität und DDoS-Schutz. Für spezielle Anwendungsfälle stehen Optionen wie Trading-VPS, Gaming-Server, GPU-Server und Anti-DDoS-Server zur Verfügung.

Häufig gestellte Fragen

In diesem Artikel:
,
Beitrag verfasst von:
Folgen
Vorheriger Artikel
Nächster Artikel
Das könnte Ihnen auch gefallen